Microsoft предупреждает об активизации китайских хакеров, использующих ботнет Quad7 (также известный как CovertNetwork-1658 или xlogin) для атак на учетные записи с помощью password-spray методов. Впервые Quad7 был обнаружен летом 2023 года исследователем Gi7w0rm, а в сентябре 2024 года команда Sekoia TDR зафиксировала новые импланты, связанные с ботнетом, и сообщила о его активности. В числе целей — устройства для малого офиса и дома (SOHO) и VPN, такие как TP-LINK, Zyxel, Asus, D-Link и Netgear. Операторы Quad7 используют ботнет для атак на учетные записи VPN, Telnet, SSH и Microsoft 365, эксплуатируя как известные, так и ранее неизвестные уязвимости.
Обнаружение новых кластеров и инфраструктуры Quad7
Недавно Sekoia опубликовала отчет, согласно которому Quad7 ботнет включает несколько серверов для подготовки атак, что позволило исследователям выявить новые кластеры и цели, связанные с ботнетом. В отчетах указаны пять ключевых кластеров — alogin, xlogin, axlogin, rlogin и zylogin, каждый из которых ориентирован на определенные устройства, такие как медиа-серверы Axentra, беспроводные маршрутизаторы Ruckus и VPN-устройства Zyxel.
Основная часть ботнета Quad7 состоит из скомпрометированных маршрутизаторов TP-Link с открытыми портами для администрирования и прокси-функций. Например, кластеры alogin и rlogin специализируются на устройствах Asus и Ruckus Wireless, соответственно, каждый с уникальными портами для администрирования. Несмотря на то что alogin и xlogin содержат тысячи скомпрометированных устройств, rlogin насчитывает лишь 213. Другие кластеры, такие как axlogin и zylogin, нацелены на NAS Axentra и VPN Zyxel, но они остаются менее распространенными.
Подозрение на китайских хакеров и активность Storm-0940
Microsoft сообщает, что китайские группы угроз, включая Storm-0940, используют ботнет CovertNetwork-1658 для взлома учетных данных с помощью password-spray атак. Storm-0940, активная с 2021 года, получает доступ к сетям через brute-force атаки и эксплуатацию сетевых сервисов, нацеливаясь на государственные, юридические, оборонные и НПО организации в Северной Америке и Европе. Microsoft уведомила пострадавших клиентов и предоставила рекомендации по защите.
«Microsoft предполагает, что угрозу создала и поддерживает группа, находящаяся в Китае. Хакеры используют уязвимость в маршрутизаторах для удаленного выполнения кода. Мы продолжаем исследовать конкретные эксплойты, с помощью которых данная группа компрометирует устройства»
Характеристика атак через CovertNetwork-1658
Одной из особенностей атак через CovertNetwork-1658 является низкий объем попыток входа. В большинстве атак, примерно в 80% случаев, CovertNetwork-1658 выполняет лишь одну попытку входа на каждую учетную запись в день, что затрудняет обнаружение из-за отсутствия множества неудачных попыток. Кроме того, ботнет использует тысячи IP-адресов SOHO-устройств с ротацией узлов каждые 90 дней.
Продолжение операций и рекомендации Microsoft
Microsoft предупреждает, что активность CovertNetwork-1658 не прекратилась, и ботнет, вероятно, приобретает новую инфраструктуру с модифицированными характеристиками. Увеличение активности может свидетельствовать о приобретении новой инфраструктуры.
После проникновения в сеть хакеры Storm-0940 применяют инструменты для сканирования и извлечения учетных данных, получают доступ к сетевым устройствам для установки прокси-программ и удаленных администраторов (RAT) и стремятся к краже данных.
Microsoft рекомендует организациям защищаться от атак password spraying, укрепляя контроль за учетными данными и повышая безопасность облачных идентификаторов.
Наш процесс рецензирования основан на тщательном исследовании и объективности. Все материалы проходят многоуровневую проверку на соответствие высоким стандартам качества и точности, обеспечивая надёжную информацию для принятия обоснованных решений.
Максим - ведущий тестировщик VPN в проекте vpnRussia, протестировал более 100 VPN-сервисов. С образованием в области информационных технологий, Максим специализируется на анализе и оценке производительности VPN, их безопасности и удобства использования. Его ключевые задачи включают проведение всесторонних тестов VPN-сервисов, выявление уязвимостей и проблем, а также подготовку детальных отчетов для пользователей.